Ενοποίηση Συστημάτων Ασφαλείας: Προσδοκίες και Πραγματικότητα

 Από το Marketing στη λειτουργία

Η πιο συχνή οδηγία ή απαίτηση που ακούω από πελάτες στα kick-off έργων είναι: «τα συστήματα πρέπει να συνεργάζονται» ή «να διαθέτουν πρωτόκολλα που να επιτρέπουν την ενοποίησή τους». Όσο εύλογη, όμως, είναι αυτή η απαίτηση, άλλο τόσο ασαφής μπορεί να αποδειχθεί, εάν δεν αποσαφηνιστεί έγκαιρα τι ακριβώς εννοούμε όταν λέμε ότι δύο ή περισσότερα συστήματα «συνεργάζονται».

Για τους προμηθευτές ενοποιημένων λύσεων, η υπόσχεση ενοποίησης προς τον τελικό χρήστη είναι εύλογη: καλύτερη επιχειρησιακή εικόνα, ταχύτερη απόκριση σε συμβάντα, μεγαλύτερος έλεγχος. Η προοπτική αυτή περιγράφεται με όρους που ακούγονται οικείοι και καθησυχαστικοί. “Open platform”, “third-party integrations”, “ενιαίο οικοσύστημα”. Όλα αυτά είναι θεμιτά και έχουν θέση στη συζήτηση. Το ερώτημα είναι αν αρκούν.

Διότι, όταν έρθει η στιγμή της πραγματικής υλοποίησης, ο οργανισμός δεν καλείται να διαχειριστεί όρους marketing. Καλείται να διαχειριστεί λειτουργία. Καλείται να λειτουργήσει μια αρχιτεκτονική επί σειρά ετών, με αλλαγές προσωπικού, με αναβαθμίσεις, με αστοχίες, με απαιτήσεις επέκτασης και εντός ενός συγκεκριμένου πλαισίου λειτουργίας της Ασφάλειας, στην οποία τα συστήματα αποτελούν μόνο ένα μέρος της συνολικής επιχειρησιακής εικόνας. Και τότε η λέξη “integration” παύει να είναι υπόσχεση. Γίνεται ευθύνη.

Εκεί ακριβώς αρχίζει και η απόσταση ανάμεσα στην προσδοκία και στην πραγματικότητα. Γιατί στην πράξη, η ενοποίηση δεν διαθέτει μια ενιαία και αυτονόητη μορφή. Άλλο είναι η δυνατότητα ανταλλαγής σημάτων ή συμβάντων. Άλλο είναι η εκτέλεση ενεργειών από ενιαίο περιβάλλον. Άλλο είναι η αυτοματοποιημένη αλληλουχία ενεργειών. Και άλλο, τέλος, είναι η πραγματική επιχειρησιακή συνεργασία πολλαπλών συστημάτων μέσα σε ένα δομημένο περιβάλλον που αντέχει στον χρόνο και παράγει σημαντικά οφέλη στον οργανισμό.

Για τον decision-maker χωρίς υψηλό τεχνικό υπόβαθρο, οι διαφορές αυτές δεν είναι ορατές στην αρχή. Και είναι απολύτως λογικό να μην είναι. Όμως εκεί ακριβώς βρίσκεται η ουσία του ζητήματος. Διότι ένας οργανισμός μπορεί να θεωρεί ότι αγοράζει ενοποιημένη λειτουργία, ενώ στην πράξη μπορεί να αποκτά μόνο περιορισμένη διασύνδεση. Μπορεί να πιστεύει ότι έχει εξασφαλίσει μελλοντική ευελιξία, ενώ στην πραγματικότητα μπορεί να έχει δημιουργήσει μια νέα τεχνική, συμβατική και οικονομική εξάρτηση. Δυστυχώς, τα παραπάνω παραδείγματα δεν είναι θεωρητικά. Όσα έχω δει στην πράξη δείχνουν πως τέτοια ζητήματα προκύπτουν συχνά, συνήθως όταν το ενοποιημένο σύστημα έχει ήδη εγκατασταθεί.

 Η πραγματικότητα της υλοποίησης

Smart industry and customer service management. Person touching a virtual screen for performance analysis. IoT, big data and cloud computing network on display.

Σε αρκετά έργα εμφανίζονται επαναλαμβανόμενα μοτίβα: στην αρχή, όλα φαίνονται συμβατά, στη συνέχεια, όμως, αρχίζουν οι διευκρινίσεις. Κάποια λειτουργία «υποστηρίζεται», αλλά όχι ακριβώς όπως είχε γίνει αντιληπτό. Κάποιο integration υπάρχει, αλλά απαιτεί πρόσθετο middleware, πρόσθετη ανάπτυξη ή συγκεκριμένη έκδοση λογισμικού. Ένα σενάριο που θεωρούνταν αυτονόητο, τελικά δεν περιλαμβάνεται στο βασικό scope του έργου ή ακόμη χειρότερα, δεν μπορεί να υλοποιηθεί καν. Μια αναβάθμιση σε ένα υποσύστημα δημιουργεί νέα αβεβαιότητα στο επίπεδο διασύνδεσης. Και κάπου εκεί ο οργανισμός αντιλαμβάνεται ότι η κρίσιμη περιοχή του έργου δεν ήταν αυτή που φαινόταν περισσότερο, αλλά αυτή που είχε συζητηθεί λιγότερο.

Η πραγματικότητα της ενοποίησης δεν κρίνεται στο εντυπωσιακό μέρος της αρχικής επίδειξης λειτουργιών. Κρίνεται αλλού: στο middleware, στη χαρτογράφηση συμβάντων, στις λογικές αλληλεξαρτήσεις, στο βάθος της ενοποίησης, στη διαχείριση αλλαγών, στη λειτουργική διαχείριση και συντήρηση του ενοποιημένου συστήματος. Δηλαδή σε όλα εκείνα τα σημεία που σπάνια τραβούν την προσοχή στη φάση του σχεδιασμού ή του procurement, αλλά συχνά καθορίζουν την πραγματική αξία, τη σταθερότητα και το προσδόκιμο ζωής της λύσης.

Αξίζει, λοιπόν, να ειπωθεί καθαρά: η ενοποίηση των συστημάτων ασφαλείας δεν είναι μια συζήτηση απλή. Αρχικά, είναι μια συζήτηση με απαίτηση για διατμηματική συμμετοχή και ευθυγράμμιση όλων των ενδιαφερόμενων μερών του οργανισμού, σχετικά με το σκοπό, τη διαχείριση και το κόστος ενός ενοποιημένου συστήματος. Κατόπιν, είναι μια συζήτηση που σε ορισμένα σημεία της είναι πολύ τεχνική και πρέπει ο τελικός χρήστης να κατανοήσει επαρκώς όλες τις επιπτώσεις των αποφάσεων που θα ληφθούν.

Από την απουσία αυτών των συζητήσεων και του σχετικού σχεδιασμού προκύπτουν και τα γνωστά pain points. Αλλαγές scope προς το τέλος. Πρόσθετες οικονομικές απαιτήσεις. Μετατόπιση ευθυνών. Καθυστερήσεις που δεν εξηγούνται εύκολα στη διοίκηση. Χειριστές που δεν παίρνουν τελικά το λειτουργικό αποτέλεσμα που τους βοηθά ουσιαστικά στο έργο τους. Και μια γενικότερη αίσθηση ότι, ενώ το έργο παραδόθηκε τεχνικά, δεν αποδίδει επιχειρησιακά με τον τρόπο που περίμενε ο owner του συστήματος.

 Red Flags

Η εμπειρία μου από έργα ενοποίησης δείχνει πως υπάρχουν ορισμένες ενδείξεις που εμφανίζονται πολύ νωρίς στη συζήτηση για ένα ενοποιημένο σύστημα ασφαλείας και λειτουργούν ως σαφείς προειδοποιήσεις ότι ίσως κάτι πρέπει να επανεξεταστεί.

Ένα από τα πρώτα τέτοια σημάδια είναι η απουσία κρίσιμων stakeholders από τη συζήτηση. Συχνά συμμετέχουν όσοι εγκρίνουν ή προμηθεύονται, χωρίς να είναι παρόντες όσοι θα κληθούν να χρησιμοποιήσουν, να υποστηρίξουν ή να επηρεαστούν καθημερινά από το ενοποιημένο περιβάλλον.

Εξίσου ανησυχητικό είναι όταν δεν υπάρχει σαφής σκοπός. Όταν, δηλαδή, η ενοποίηση αντιμετωπίζεται περίπου ως αυτονόητη επιδίωξη, χωρίς να έχει οριστεί με σαφήνεια ποιο πρόβλημα έρχεται να λύσει, ποια λειτουργική βελτίωση αναμένεται να φέρει και ποια θα είναι η μετρήσιμη αξία της για τον οργανισμό.

Αρκετές φορές, επίσης, η συζήτηση προχωρά χωρίς να έχει εξεταστεί σοβαρά ούτε το συνολικό κόστος ιδιοκτησίας ούτε το λειτουργικό κόστος της λύσης. Το αρχικό κόστος προμήθειας έχει σημασία, αλλά δεν αρκεί. Όταν δεν έχουν εκτιμηθεί η συντήρηση, οι αναβαθμίσεις, οι άδειες, οι αλλαγές και κυρίως το λειτουργικό κόστος, ο οργανισμός κινδυνεύει να ανακαλύψει αργότερα ότι η ενοποίηση που φαινόταν ελκυστική στην αρχή είναι πολύ ακριβότερη απ’ όσο είχε εκτιμηθεί.

Ένα ακόμη κλασικό σημείο προσοχής είναι όταν δεν έχουν ξεκαθαριστεί τα σενάρια λειτουργίας που θα υποστηρίζει το ενοποιημένο σύστημα, ούτε τι θα συμβαίνει σε περίπτωση δυσλειτουργίας του. Εάν δεν έχει αποτυπωθεί πώς θα λειτουργεί ο οργανισμός με το ενοποιημένο, αλλά και χωρίς αυτό, η ενοποίηση μπορεί εύκολα να μετατραπεί από εργαλείο ενίσχυσης σε νέο σημείο τρωτότητας.

Σοβαρό red flag είναι επίσης όταν δεν έχει αποσαφηνιστεί ποιος ακριβώς θα χειρίζεται το ενοποιημένο, σε ποιο περιβάλλον, με ποια καθήκοντα και με ποιον τρόπο θα αξιολογείται η απόδοσή του. Ένα ενοποιημένο σύστημα δεν είναι απλώς μια επιπλέον οθόνη. Μεταβάλλει ρόλους, ευθύνες, ροές εργασίας και συχνά ολόκληρη τη λογική χειρισμού.

Αντίστοιχα, όταν παραμένει ασαφής η εκπαίδευση (πως θα παραχθεί και πως θα διανεμηθεί το εκπαιδευτικό υλικό), η συντήρηση (δεν υπάρχει σχεδιασμός σύμβασης, SLAs, KPIs) και η διαχείριση αλλαγών (ειδικά εκείνες που αφορούν τα APIs και τα SDKs των υποσυστημάτων), το έργο αποκτά από νωρίς χαρακτηριστικά εξάρτησης και ασάφειας.

Ένα από τα πιο αποκαλυπτικά σημάδια εμφανίζεται, τέλος, όταν η απόκτηση επαρκούς τεκμηρίωσης για το υποστηριζόμενο scope από τον κατασκευαστή του ενοποιημένου, αποδεικνύεται δύσκολη ή περιβάλλεται από αοριστία. Όταν λοιπόν η τεκμηρίωση δεν είναι δημόσια και εύκολα διαθέσιμη ή όταν, ακόμη και όπου διατίθεται, δεν αποσαφηνίζει το είδος, το βάθος και τη λειτουργικότητα της ενοποίησης για κάθε επιμέρους υποσύστημα, ο οργανισμός οφείλει τουλάχιστον να σταθεί και να σκεφτεί τι σημαίνει αυτό για τη διαφάνεια, την εξάρτηση και την πραγματική δυνατότητα διακυβέρνησης της λύσης.

Το κόστος της ασάφειας

Η ενοποίηση των συστημάτων ασφαλείας μπορεί να προσφέρει ουσιαστικά οφέλη. Μπορεί, όμως, και να μετατραπεί σε νέα πηγή πολυπλοκότητας, εξάρτησης και λειτουργικής αβεβαιότητας, όταν δεν έχει οριστεί με ακρίβεια από την αρχή. Γι’ αυτό και η πιο χρήσιμη στάση για έναν οργανισμό δεν είναι ο ενθουσιασμός απέναντι στην υπόσχεση της ενοποίησης, αλλά η επιμονή σε σωστές ερωτήσεις. Διότι, στα έργα αυτά, ό,τι δεν ορίζεται έγκαιρα, συνήθως κοστίζει αργότερα.